Raport o usługach cloud computing w działalności ubezpieczeniowej

Raport o usługach cloud
computing w działalności
ubezpieczeniowej
Regulacje prawne dotyczące
ubezpieczeo związane z
outsourcingiem usług IT
Julita Zimoch-Tuchołka, radca prawny, Partner
Monika Malinowska-Hyla, radca prawny, Senior Associate
Polska Izba Ubezpieczeo
12 lutego 2013 roku, Warszawa
1
Podstawy prawne przechowywania i przetwarzania danych przez
ubezpieczycieli
Ustawa o działalności ubezpieczeniowej:
 art. 19 ust. 1: Generalna zasada ochrony tajemnicy
ubezpieczeniowej
Zakład ubezpieczeń i osoby w nim zatrudnione lub osoby i podmioty,
za pomocą których zakład ubezpieczeń wykonuje czynności
ubezpieczeniowe, są obowiązane do zachowania tajemnicy
dotyczącej poszczególnych umów ubezpieczenia.
2
Podstawy prawne przechowywania i przetwarzania danych przez
ubezpieczycieli
Tajemnica ubezpieczeniowa dotyczy:
 Wszelkich danych związanych z umowami ubezpieczeniowymi, tj.
danych ubezpieczonych, ubezpieczających, ewentualnych innych stron,
konkretnych postanowień umownych, jak również informacji o tym, iż
taka umowa została w ogóle zawarta;
 Wszelkich danych związanych z wykonaniem umowy, przetwarzanych
przez zakład ubezpieczeń w związku z umową ubezpieczenia lub
nawet jeżeli do zawarcia umowy nie doszło.
3
Podstawy prawne przechowywania i przetwarzania danych przez
ubezpieczycieli
Ustawa o działalności ubezpieczeniowej:
 art. 19 ust. 2 : Tajemnica ubezpieczeniowa - wyjątki
Lista podmiotów, którym zakład ubezpieczeń może udzielić
informacji stanowiących tajemnicę ubezpieczeniową.
Dotyczy to m.in.:
podmiotu przetwarzającego, na zlecenie zakładu ubezpieczeń, dane
dotyczące ubezpieczających, ubezpieczonych, uposażonych lub
uprawnionych z umów ubezpieczenia oraz administrujących
indywidualnymi kontami jednostek uczestnictwa w ubezpieczeniowym
funduszu kapitałowym.
4
Podstawy prawne przechowywania i przetwarzania danych przez
ubezpieczycieli
Ustawa o działalności ubezpieczeniowej:
 art. 19 ust. 3 : Odpowiedzialnośd zakładu ubezpieczeo za naruszenie
tajemnicy ubezpieczeniowej
Przetwarzanie danych oraz wykonywanie czynności przez podmioty
[którym powierzono przetwarzanie danych lub zlecono inne czynności],
nie ogranicza odpowiedzialności wynikającej z zakazu, o którym
mowa w ust. 1 [tj. zakazu ujawniania danych objętych tajemnicą
ubezpieczeniową].
5
Podstawy prawne przechowywania i przetwarzania danych przez
ubezpieczycieli
Zasady odpowiedzialności zakładu ubezpieczeo za naruszenie
tajemnicy ubezpieczeniowej

Odpowiedzialność cywilna za wszelkie szkody wyrządzone osobom
trzecim na skutek bezprawnego ujawnienia danych objętych tajemnicą
(odpowiedzialność kontraktowa lub deliktowa); brak możliwości
powołania się na art. 429 kodeksu cywilnego – powierzenie
przetwarzania profesjonaliście nie zwalnia zakładu ubezpieczeń z
odpowiedzialności.
6
Podstawy prawne przechowywania i przetwarzania danych przez
ubezpieczycieli
Zasady odpowiedzialności zakładu ubezpieczeo za naruszenie
tajemnicy ubezpieczeniowej

Sankcje administracyjnoprawne nakładane przez KNF, w tym kary
pieniężne (art. 212 ustawy o działalności ubezpieczeniowej);

Sankcje karne za naruszenie tajemnicy ubezpieczeniowej: kara
grzywny lub pozbawienia wolności (art. 232 ustawy o działalności
ubezpieczeniowej).
7
Podstawy prawne przechowywania i przetwarzania danych przez
ubezpieczycieli
Ustawa o działalności ubezpieczeniowej:
 art. 26 ust. 1: dokumenty na nośnikach elektronicznych
Dokumenty związane z zawieraniem i wykonywaniem umów
ubezpieczenia mogą być sporządzane na informatycznych nośnikach
danych, jeżeli będą w sposób należyty utworzone, utrwalone,
przechowywane i zabezpieczone. Usługi związane z
zabezpieczeniem tych dokumentów mogą być wykonywane przez
zakład ubezpieczeń lub spółkę utworzoną przez zakład ubezpieczeń
lub przez inne podmioty.
8
Podstawy prawne przechowywania i przetwarzania danych przez
ubezpieczycieli
Rozporządzenie Ministra Finansów z dnia 31 października 2003 r. w sprawie
szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania
dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia (Dz.
U. Nr 193, poz. 1889).
Rozporządzenie reguluje m.in. obowiązki dot. zabezpieczania dokumentów, które
polegają na zapewnieniu dostępności dokumentów wyłącznie dla osób uprawnionych
(co ma związek z tajemnicą ubezpieczeniową), ochronie przed przypadkowym lub
nieuprawnionym zniszczeniem, zastosowaniu aktualnie dostępnych metod i środków
ochrony integralności dokumentu.
Zabezpieczenie dokumentów wymaga:
 systematycznego dokonywania analizy zagrożeń; opracowania i stosowania
procedur zabezpieczania dokumentów i systemów ich przetwarzania, w tym
procedur dostępu;
 stosowania systemów zabezpieczeń ze szczególnym uwzględnieniem
zapewnienia kompletności i szczelności tych systemów;
 opracowania sposobów działania w celu eliminacji naruszania bezpieczeństwa
oraz bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i
techniczno-informatycznych sposobów zabezpieczenia, a także okresowego
dokonywania oceny tych sposobów.
9
Outsourcing w działalności ubezpieczeniowej
Ustawa o działalności ubezpieczeniowej:
 art. 3 ust. 6 : czynności ubezpieczeniowe, które mogą byd zlecane
podmiotom trzecim
Czynności przetwarzania danych dotyczących ubezpieczających,
ubezpieczonych, uposażonych lub uprawnionych z umów
ubezpieczenia oraz administrujących indywidualnymi kontami jednostek
uczestnictwa w ubezpieczeniowym funduszu kapitałowym – zlecane na
podstawie art. 19 pkt. 23 ustawy.
Czynności wykonywane przez podmioty trzecie w ramach
outsourcingu, traktowane są jak czynności ubezpieczeniowe, w
zakresie, w jakim są wykonywane w imieniu i na rzecz zakładu
ubezpieczeń.
10
Outsourcing w działalności ubezpieczeniowej
Dyrektywa 2009/138/WE w sprawie podejmowania i wykonywania
działalności ubezpieczeniowej i reasekuracyjnej (tzw. Wypłacalnośd II)
w zakresie outsourcingu
Cele regulacji:

uregulowanie outsourcingu istotnych funkcji lub rodzajów działalności
ubezpieczeniowej (czyli outsourcingu czynności ubezpieczeniowych) w
jednolity sposób we wszystkich państwach członkowskich UE

zapewnienie efektywnego nadzoru nad takimi czynnościami zlecanymi
w ramach outsourcingu.
11
Outsourcing w działalności ubezpieczeniowej wg Dyrektywy Wypłacalnośd II
Planowana implementacja do polskiego porządku prawnego
 projektowana ustawa o działalności ubezpieczeniowej


Obecnie w trakcie prac legislacyjnych w Ministerstwie Finansów
Uzgodnienia dotyczące „Projektu założeń do projektu ustawy o
działalności ubezpieczeniowej i reasekuracyjnej”
12
Outsourcing w działalności ubezpieczeniowej wg Dyrektywy Wypłacalnośd II
Nowe obowiązki i odpowiedzialność:

Obowiązek zawiadomienia KNF o zamiarze powierzenia przez zakład
ubezpieczeń czynności ubezpieczeniowych innemu podmiotowi.
Obowiązkowi notyfikacji podlegać będzie także każda istotna zmiana,
rozwiązanie lub wygaśnięcie umowy outsourcingu.

Zasada pełnej odpowiedzialności zakładów ubezpieczeń za wykonanie
obowiązków z zakresu outsourcingu (analogicznie jak w prawie bankowym):
Odpowiedzialności zakładu ubezpieczeń za szkody wyrządzone
ubezpieczającym, ubezpieczonym, uposażonym lub uprawnionym
z umów ubezpieczenia wskutek niewykonania lub nienależytego
wykonania outsourcingu nie można wyłączyć ani ograniczyć.
Odpowiedzialności zakładu ubezpieczeń i zakładu reasekuracji za
szkody wyrządzone cedentom wskutek niewykonania lub
nienależytego wykonania outsourcingu nie można wyłączyć ani
ograniczyć.
13
Outsourcing w działalności ubezpieczeniowej wg Dyrektywy Wypłacalnośd II
Uprawnienia nadzorcze dla KNF:

Możliwość nakazania zakładowi ubezpieczeń rozwiązania umowy
outsourcingu, zakazania planowanego outsourcingu podstawowych lub
ważnych czynności ubezpieczeniowych oraz funkcji należących do systemu
zarządzania, oraz jego istotnej zmiany.

Prawo przeprowadzenia kontroli dostawcy usług w jego lokalu, zaś w
przypadku dostawców z innego państwa UE - kontrola przez organ nadzoru
tego państwa członkowskiego.

Możliwość przeprowadzenia kontroli działalności i stanu majątkowego
dostawcy usług w zakresie powierzonych w drodze outsourcingu czynności
ubezpieczeniowych i reasekuracyjnych oraz funkcji należących do systemu
zarządzania.

Możliwość przeprowadzania kontroli dostawców usług umiejscowionych na
terytorium Rzeczypospolitej Polskiej w zakresie czynności powierzonych
przez zagraniczny zakład ubezpieczeń.
14
Outsourcing w działalności ubezpieczeniowej wg Dyrektywy Wypłacalnośd II
Wymogi dotyczące outsourcingu czynności ubezpieczeniowych wg
Dyrektywy Wypłacalność II:



dostawca usług będzie współpracował z organem nadzoru w zakresie
powierzonych w ramach outsourcingu czynności lub funkcji;
zakład ubezpieczeń, jego podmiot uprawniony do badania sprawozdań
finansowych oraz organ nadzoru będą posiadali faktyczny dostęp do
danych związanych z powierzonymi funkcjami lub działaniami;
organ nadzoru będzie miał możliwość prowadzenia kontroli działalności
i stanu majątkowego dostawcy usług w zakresie powierzonych
czynności i funkcji.
15
Outsourcing w działalności ubezpieczeniowej wg Dyrektywy Wypłacalnośd II
Wymogi dotyczące outsourcingu czynności ubezpieczeniowych wg
Dyrektywy Wypłacalność II:
Outsourcing nie może odbywać się w sposób prowadzący do:
 przekazania zarządzania zakładem ubezpieczeń w rozumieniu art. 368
§ 1 kodeksu spółek handlowych (przepis ten stanowi, że to zarząd
prowadzi sprawy spółki i reprezentuje ją na zewnątrz);
 przekazania wykonywania działalności ubezpieczeniowej w sposób
powodujący brak faktycznego wykonywania działalności przez zakład
ubezpieczeń;
 pogorszenia jakości systemu zarządzania zakładu ubezpieczeń;
 zwiększenia ryzyka operacyjnego;
 pogorszenia możliwości monitorowania przez organ nadzoru
przestrzegania przez zakład ubezpieczeń jego obowiązków;
 pogorszenia jakości świadczenia usług ubezpieczającym,
ubezpieczonym, uposażonym lub uprawnionym z umów ubezpieczenia
oraz cedentom.
16
Outsourcing w działalności ubezpieczeniowej wg Dyrektywy Wypłacalnośd II
Zmiany w prawie europejskim
Trzy poziomy przepisów wprowadzających system Wypłacalność II:
 Akt podstawowy, czyli dyrektywa ramowa (akt poziomu 1) – jest to przede
wszystkim omówiona wyżej Dyrektywa 2009/138/WE regulująca podstawowe
zasady nowego systemu;
 Akty 2 poziomu – szczegółowe rozwiązania znajdą się w aktach wykonawczych
do dyrektywy, zwanych aktami delegowanymi (ang. delegated acts): w zakresie
outsourcingu Komisja Europejska przyjmie środki wykonawcze w celu bliższego
określenia warunków wykonywania outsourcingu, w szczególności w przypadku
dostawców usług zlokalizowanych w państwach trzecich. Akty te będę
obowiązywały wprost, bez konieczności ich implementowania do polskiego
systemu prawnego.
 Akty 3 poziomu – będą zawierały dalsze szczegółowe przepisy, z których część
będzie miała charakter niewiążących prawnie wytycznych (ang. guidelines),
obowiązujących na zasadzie tzw. comply or explain (tj. stosuj się do przyjętych
rozwiązań, a jeśli nie, to wytłumacz dlaczego nie możesz się do nich stosować).
Część natomiast będzie wydawana w formie prawnie wiążących,
wykonawczych standardów technicznych (ang. binding technical standards –
BTS lub implementing technical standards – ITS).
17
Kontakt
Julita Zimoch-Tuchołka
Radca Prawny, Partner
T: +48 22 557 7697
E: [email protected]
Monika Malinowska-Hyla
Radca Prawny, Senior Associate
T: +48 22 557 7696
E: [email protected]
18
www.dzp.pl
Warszawa
Rondo ONZ 1, 00-124 | T: +48 22 557 76 00 | F: +48 22 557 76 01
Wrocław
ul. Powstańców Śląskich 2-4, 53-333 | T: +48 71 712 47 00 | F: +48 71 712 47 50
Poznań
ul. Paderewskiego 8, 61-770 | T: +48 61 642 49 00 | F: +48 61 642 49 50
Łódź
ul. Traugutta 25, 90-113 | T: +48 42 637 25 80 | F: +48 42 637 30 13
Toruń
Szosa Chełmińska 17, 87-100 | T: +48 56 622 00 53 | F: +48 56 621 95 83
19